量子コンピューティングは明日ビットコインを壊さない、A16zが述べる

** A16zの暗号アナリストが、量子コンピュータが近い将来ビットコインに脅威をもたらさないことを明らかに。なぜポスト量子暗号の導入は直ちに行う必要があるのに対し、署名の遅延は可能なのか、その理由を解説。**

A16z暗号は、量子コンピュータが一夜にしてビットコインを消滅させるという一般的な信念を否定している。最近のベンチャーファームの分析は、量子の誇大広告と現実を区別している。

暗号学的に関連する量子コンピュータは数十年先の話であると、a16zcryptoはXで述べている。2030年以前に登場するという理論には証拠がない。同社は、セキュリティリスクを増大させる早期のポスト量子暗号への移行を警戒している。

暗号化は即時の危険に直面している

敏感なデータはすでに、「今収集して後で解読」する攻撃により危険にさらされている。対抗者は現代においても暗号化されたメッセージをアーカイブし、後に解読できるようにしている。大量のトラフィックは国家レベルでアーカイブされている。

ポスト量子暗号の実装は今すぐ行うべきだ。ハイブリッドシステムはすでにChromeやCloudflareによって導入されている。iMessageやSignal(Apple)も独自のプロトコルを採用している。

ハイブリッドモデルは、ポスト量子アルゴリズムと従来の暗号技術の組み合わせであり、量子コンピュータや可能なポスト量子攻撃に対抗できるよう設計されている。

署名は異なる物語を語る

デジタル署名に対する「今収集して後で解読」攻撃は存在しない。ビットコインのブロックチェーンは完全に公開されている。量子コンピュータは将来的に解読すべき秘密を持っていない。

実は、a16zcryptoがXでツイートしたように、署名の偽造は量子コンピュータの登場とともに可能になるだけだ。以前の署名は遡及的に無効化できない。これにより、移行の緊急性は生じない。

主要なプラットフォームは、ポスト量子署名の導入を延期している。現行の計画には大きなパフォーマンスのペナルティが伴う。Webインフラは未成熟な実装を好む傾向にある。

ポスト量子署名のサイズは2.4KBから8KBの範囲である。今日の楕円曲線署名はわずか64バイトしか必要としない。これは40倍から100倍のサイズ増加を意味する。

ビットコインの特有の課題

量子技術を超えて、ビットコインには特別な課題がある。ガバナンスは遅く、論争のある変更はハードフォークを破壊する可能性がある。コインの移行は受動的には不可能だ。

数百億のコイン、潜在的に放棄された何百万ものコインが脆弱なままである。最初のPay-to-Public-Key出力はオンチェーン上に公開鍵を明らかにしている。taprootアドレスも同様の露出がある。

Xのa16zcryptoは、量子攻撃は一晩で起こるものではないと述べている。Shorが提供するアルゴリズムは、単一の鍵を一つずつ攻撃する必要がある。最初の攻撃は非常にコストが高く、速度も非常に遅い。

ビットコインは取引処理能力が低いため、移行はさらに複雑だ。リスクのある資金を売却するには、現行レートで数ヶ月かかるだろう。たとえ遠い脅威であっても、今計画を立てる必要がある。

コミュニティは、失われたコインに関して厳しい選択を迫られている。選択肢は、一定期間後に焼却された未移行コインを発表することだ。代わりに、量子コンピュータは脆弱なコインを保持し続ける可能性もある。

誰もがどちらの解決策にも満足していない。プライベートキー不要のコインを主張するために量子コンピュータを使用することに関する法的懸念も存在する。所有権が主張される場合でも、盗難やコンピュータ詐欺の法律が適用され得る。

実装のバグはより重要

より即時の脅威は、サイドチャネル攻撃や実装の欠陥である。格子署名スキームは複雑な浮動小数点演算を含む。ML-DSAには、多数の中間値があり、これらが敏感である。

すでにいくつかのFalcon実装は、鍵回復攻撃によって成功裏に攻撃されている。未来の仮想的な量子の脅威と比べると、実際の危険ははるかに大きい。

RainbowとSIKEは、最も有望な量子コンピュータの二つだが、古典的計算によって破られている。これはNISTの標準化のかなり後になって起きた。早期の展開は、失敗した計画を罠にかける恐れがある。

ブロックチェーンは、ウェブインフラの慎重な運用に倣うべきだ。両者ともに、「今収集して後で解読」署名攻撃には遭遇しない。未成熟なスキームのコストとリスクは依然として高い。

今こそ、暗号コミュニティにおいて監査と形式的検証に焦点を当てる時だ。バグは、遠隔の量子コンピュータよりも長期間にわたりシステムに脅威をもたらすだろう。